Группировка атаковала четыре организации критически важной инфраструктуры в Юго-Восточной Азии.
https://www.securitylab.ru/upload/ib...8e0c6f2e88.jpg
Киберпреступная группировка, предположительно связанная с Китаем, атаковала четыре организации критически важной инфраструктуры в Юго-Восточной Азии. По словам ИБ-экспертов из Symantec, злоумышленники могут быть заинтересованы в автоматизированных системах управления технологическим процессом (АСУ ТП).
Как утверждают эксперты, вредоносная кампания началась предположительно в ноябре 2020 года и продолжалась как минимум до марта 2021 года. Главной целью злоумышленников был сбор разведданных. IP-адреса, вредоносное ПО, использованное в атаках, а также характер и местонахождение жертв указывают на то, что все четыре организации были целью одной и той же группировки. Хакеры напали на компанию водоснабжения, энергетическую компанию, коммуникационную компанию и оборонную организацию.
В ходе атаки, направленной на компанию водоснабжения, злоумышленники получили доступ к устройству, участвующему в разработке систем диспетчерского управления и сбора данных (SCADA). В случае с энергетической компанией одно зараженное устройство использовалось для инженерного проектирования.
Для достижения своих целей группировка использовала несколько легитимных инструментов, включая Windows Management Instrumentation (WMI), ProcDump, PsExec, PAExec и Mimikatz. Они также использовали бесплатные мультимедийные проигрыватели для перехвата DLL-библиотек и, возможно, легитимный плагин Internet Explorer под названием Google Chrome Frame. Кроме того, в атаках использовались кейлоггер, бэкдор и загрузчик. Эти инструменты позволяли злоумышленникам красть учетные данные и другую информацию, а также перемещаться в пределах сети.